<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Mar 24, 2015 at 4:00 PM, ianG <span dir="ltr"><<a href="mailto:iang@iang.org" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=iang@iang.org&cc=&bcc=&su=&body=','_blank');return false;">iang@iang.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class=""><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">1.  In the 1990s it was believed that cipher agility was a good thing.<br>
Everyone had the right to propose their own pet algorithm and get it in<br>
there.  (Since then, we've figured out this is a very bad idea...)<br>
</blockquote>
<br>
You answer is twisting facts. The export ciphers were not because<br>
everyone could propose their own pet algorithm. The export ciphers were<br>
part of the core SSL 3.0 specification. Whether the specification<br>
allowed its extension beyond the export ciphers is irrelevant. Actually,<br>
the fact that today we use AES instead of RC4-40 is just because SSL 3.0<br>
had agility.<br>
</blockquote>
<br></span>
He :) well, what you're saying isn't so different, so, I'll move on.</blockquote><div><br></div><div>Nikos's point is pretty important. Going back to what you said:</div></div><div><br></div><div>"In the 1990s it was believed that cipher agility was a good thing."</div><div><br></div><div>Cipher agility is definitely a good thing. The bad thing is failing to disable insecure ciphers.</div><div><br></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>